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Me J V S D 
Le RIPE, comme tout RIR, dispose d'une base de données publique qui regroupe toutes (un maximum on va 2 3 À 5 6 


dire) les informations "technico-administratives" (à qui a été alloué telle ressource numérique unique ? qui 9 10 11 12 13 


est le responsable technique de ce réseau, quel AS doit annoncer tel préfixe IP ?, ...) concernant les 16 17 18 19 20 
23 24 25 26 27 
30 


réseaux informatiques publics en Europe (version large) et au Moyen-Orient. 


- Nr : 3 R i mai » 
Habituellement, on accède à cette base de données lorsque l'on fait une requête avec le protocole whois 


sur une ressource (plage d'IP, numéro d'AS, ...) allouée/assignée par le RIPE. Aujourd'hui, on va plutôt Can 
regarder de quoi est constituée cette base de données et comment les LIR et les opérateurs réseaux la atégories 


mettent à jour (ou non, d'ailleurs). Administration réseau 


1 } Le : : Administration système 
Si tous les RIR ont une base de données, pourquoi je me focalise sur celle du RIPE ? Simplement car le X 


RIPE est bien de chez nous et comme le format de la base (RPSL ou non, objets/attributs différents, ...) BGP & RPKI+ROA 
change entre RIR, autant étudier ce qui nous concerne. De plus, la RIPE DB est la mieux documentée, à Blog 
mon humble avis. 
Cinéma/TV 

Attention : ce billet n'est ni de la vulgarisation ni une source d'information fiable. Il s'agit juste d'un retour Développement 
d'expérience et de quelques notes d'un n00b qui s'est penché sur le sujet. 
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Dernières remarques 


De la documentation générale 


e Protocole whois défini dans le RFC 3912. 
e Routing Policy Specification Language documenté dans les RFC RFC 2622 - 2725 - 4012 
(mais je ne pense pas qu'une lecture complète de ces RFC soit pertinente). 


Documentation spécifique 


e La documentation de la RIPE database et particulièrement : 


e RIPE Database User Manual: Getting Started 
ə RIPE Database Update Reference Manual 
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e Plus orienté sur la pratique et à destination des qui veulent modifier 
directement les objets créés par leur LIR dans la base du RIPE : 


Quelques paramètres whois bien utiles 


Ce que je retiens principalement des lectures précédentes, c'est des paramètres de la commande whois, 
qui sont spécifiques à certaines bases comme celle du RIPE mais qui n'en sont pas moins très utiles : 


e whois -t <type_objet> : afficher les attributs d'un type d'objet 
e whois -B : afficher toutes les infos (mail ...) de l'objet demandé (sans ça : « source: RIPE # 
Filtered ») 


e whois -L : remonter toute l'arborescence d'une allocation. Exemple pour un inetnum : 
organisation - LIR - RIR - IANA 

e whois -l : pareil que précédemment mais remonte uniquement d'un étage/d'une étape/d'un 
cran 


e whois -r -i org <id_organisation> : afficher toutes les ressources/objets assignés/alloués à 
une organisation (objet de type « organisation ») 


RIPE TEST Database 


Le RIPE met à disposition une pour que chacun puisse 
découvrir/s'entraîner à l'arrache. Je pense que c'est un excellent moyen de voir comment ça se passe de 
l'autre côté du whois. C'est vraiment intéressant et formateur. 


Ci-dessous, je ne vais pas être exhaustif, juste donner des pistes et énoncer quelques "pièges" que j'ai 
rencontrés pour vous éviter de tomber dedans. 


Dans mes exemples, je serais Jean-Kevin Boulay de l'association TESTASSO. 


person/mntner 


La première étape est de créer un objet de type « person ». Voyons les différents attributs disponibles : 


whois -t person 

person: [mandatory] [single] [lookup key] 
address: [mandatory] [multiple] 

phone: [mandatory] [multiple] 

fax-no: [optional] [multiple] 

e-mail: [optional] [multiple] [lookup key] 
org: [optional] [multiple] [inverse key] 
nic-hdl: [mandatory] [single] [primary/lookup key] 
remarks: [optional] [multiple] [] 

notify: [optional] [multiple] [inverse key] 
abuse-mailbox: [optional] [multiple] [inverse key] 
mnt-by: [mandatory] [multiple] [inverse key] 
changed: [mandatory] [multiple] 

source: [mandatory] [single] 


Hum ... mnt-by doit pointer un objet de type « mntner » (maintainer) ... Quels sont ses attributs ? 


whois -t mntner 

mntner: [mandatory] [single] [primary/lookup key] 
descr: [mandatory] [multiple] [] 

org: [optional] [multiple] [inverse key] 
admin-c: [mandatory] [multiple] [inverse key] 
tech-c: [optional] [multiple] [inverse key] 
upd-to: [mandatory] [multiple] [inverse key] 
mt-nfy: [optional] [multiple] [inverse key] 
auth: [mandatory] [multiple] [inverse key] 
remarks: [optional] [multiple] [1 

notify: [optional] [multiple] [inverse key] 
abuse-mailbox: [optional] [multiple] [inverse key] 
mnt-by: [mandatory] [multiple] [inverse key] 
referral-by: [mandatory] [single] 

changed: [mandatory] [multiple] 

source: [mandatory] [single] 


Il y a une référence circulaire : un objet person dépend d'un objet de type maintainer mais un objet 
maintainer dépend aussi d'un objet de type person (attribut « admin-c »). 
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La solution ? Utiliser le 


Mode d'emploi rapide : 


e Source : bien choisir la TEST Database 


e Person : prénom nom. Exemple : J-K Boulay 


e NIC hdi : ne peut pas être vide contrairement à ce qui est indiqué. Il s'agit de la clé 
primaire de l'objet. Elle doit être unique dans la base donc la base l'attribue elle-même. Vous 
pouvez mettre : 


e Soit une suite de caractères qui respecte le formalisme (« From 2 to 4 
characters optionally followed by up to 6 digits optionally followed by a source 
specification. The first digit must not be "0". Source specification starts with "-" 
followed by source name up to 9-character length. »). Exemple : JKBi-TEST. 
Attention : un nic-hdl déjà pris générera une erreur « The nic-hdl "JKB1-TEST" 
is not available ». 


e Soit la valeur « AUTO-1 » pour laisser complètement le choix à la base ou « 
AUTO-1 <abréviation> ». Abréviation est composée de 1 à 4 lettres. Exemple : 
AUTO-1JKB pour obtenir le nic-hdl : « JKB1-TEST ». Il est inutile d'essayer de 
mettre AUTO-423KB pour tenter d'obtenir un nic-hdl « JKB42-TEST » : ça ne 
marche pas. Je n'ai pas trouvé comment forcer le nombre et c'est à mon avis 
bien normal : ID, on prend le suivant, même si un objet avec un ID inférieur a 
été supprimé depuis, tout ça. 


e Address : FR suffit, par exemple 


e Phone : +33123456789 suffit, par exemple 


e Email : ripedb@example.com suffit, par exemple 


e Pour le mntner, le nom est une clé et on reprend souvent le nom de l'organisation à 
laquelle la personne qui s'inscrit est rattachée. Exemple : Maintainer name : TESTASSO-MNT 


Normalement, vous obtenez le message suivant : 


We have created two RIPE Database objects for you, please make a note of the primary ke 
person nic-hdl: JKB1-TEST 


person: J-K Boulay 

address: FR 

phone: +33123456789 

e-mail: ripedb@example .com 

nic-hdl: JKB1-TEST 

mnt-by: TESTASSO-MNT 

changed: ripedb@example.com 20140418 
source: TEST 


maintainer name: TESTASSO-MNT 


mtner: TESTASSO-MNT 

descr: Startup maintainer 
admin-c: JKB1-TEST 

upd-to: ripedb@example .com 
auth: MD5-PW blabla 
mnt-by: TESTASSO-MNT 
referral-by: TESTASSO-MNT 
changed: ripedb@example .com 
source: TEST 

4 


Petite note : un objet de type maintainer est un verrou qui empêche la modification et la suppression 


inopinée de vos enregistrements présents dans la base. Il recense également les moyens qui permettent 


d'authentifier le requérant d'une modification/suppression. Actuellement, la base supporte une auth par mot 
de passe (stocké sous forme de hash MD5 dans la base) ou par signature PGP des objets (uniquement par 
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mail, pas par l'interface web. Oui, on peut créer/modifier des objets par mail.). Pour l'instant, nous n'avons 
qu'une auth par mot de passe. 


Vous pouvez effectuer une recherche pour vérifier que vos objets ont bien été créés : 


Si vous souhaitez modifier vos objets, c'est par là : 

Cependant, lors de la soumission de vos modifications, vous allez recevoir l'erreur : « No authorisation has 
been supplied ». En effet, vous n'avez pas prouvé votre identité selon l'un des mécanismes prévus dans 
l'objet maintainer qui verrouille l'objet que vous souhaitez modifier. Pour vous authentifier, il suffit de saisir 
votre mot de passe de maintainer dans la zone « Session Passwords » dans le menu de droite. 


À partir de maintenant, vous pouvez créer vos objets à l'adresse suivante : 
. Deux méthodes de saisies sont disponibles : format 
brut (que du texte) ou formulaire avec uniquement les attributs obligatoires. 


organisation 


Un objet de type « organisation » permet de regrouper toutes les ressources associées/allouées à une 
organisation donnée. Très pratique mais pas obligatoire. Les autres objets peuvent pointer dessus avec un 
attribut « org ». L'attribut organisation fonctionne comme le NIC-hdi d'une person donc « AUTO- 
1<abréviation> ». 


Exemple : 


organisation: ORG-TSTAI-TE 

org-name: Association TESTASSO 
org-type: OTHER 

address: FR 

e-mail: ripedb@example.com 

mnt-ref:  TESTASSO-MNT 

mnt- TESTASSO-MNT 

changed: ripedb@example.com 20140418 
source: TEST 


inetnum/ineténum 


Passons au plus intéressant : une plage d'adresses IPv4 : un inetnum (ou v6 avec inet6num, ça fonctionne 
pareil). 


En situation réelle, vous n'aurez pas besoin de créer cet objet : c'est le boulot de votre LIR qui vous mettra 
en mnt-* si vous le souhaitez pour que vous ayez des droits sur vos allocations. De plus, en situation réelle, 
le processus d'allocation de ressources ne se passe pas aussi facilement en mode "ho, cette plage est 
disponible, je la prends". Néanmoins, ici, je choisis 192.0.2.0/24 qui est une plage réservée à la 
documentation. 


Ici, il faudra l'accord de la hiérarchie, c'est à dire de l'organisation (RIR ou LIR) a qui a été attribuée la 
plage d'adresses IP qui englobe celle que cette organisation vous a attribuée. Pour trouver quel est le 
maintainer responsable, il suffit de faire une recherche. 


Via l' 


e Search term : 192.0.2.0 - 192.0.2.255 
e Sources : TEST Database 


e Hierarchy Flags : | (| comme lapin) 


Ou via whois : whois -h whois-test.ripe.net -I 192.0.2.0 - 192.0.2.255 
Voilà un extrait de la réponse : 


inetnum: 

netname: 

descr: The whole IPv4 address space 
country: EU # Country is really world wide 
org: ORG-TT1-TEST 

admin-c: AA1-TEST 

tech-c: AA2-TEST 

status: ALLOCATED UNSPECIFIED 

remarks: The country is really worldwide. 
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mnt-by: TEST-ROOT-MNT 

mnt-lower: TEST-DBM-MNT 

mnt-routes: TEST-DBM-MNT 

remarks: This is an automatically created object. 
source: TEST # Filtered 


On regarde l'attribut « mnt-lower: ». Le maintainer est « TEST-DBM-MNT ». Dans cette base de test, le mot 
de passe est donné dans un attribut « remark » de cet objet mntner. Je vous laisse le retrouver et l'ajouter 


à vos « Session Passwords » (menu de droite, tout ça …). 
Maintenant, vous pouvez enregistrer un inetnum. Exemple : 


inetnum: 192.0.2.0 = 192.0.2.255 
netname:  TESTASSO-MAIN 

descr: IPv4 TESTASSO allocation 
country: FR 

admin-c: JKB1-TEST 

tech-c: JKB1-TEST 

status ASSIGNED PA 

mnt-by:  TESTASSO-MNT 

changed: ripedb@example.com 20140418 
source: TEST 


Remarquez que le statut est fantaisiste et ne correspond pas à la réalité : l'IANA n'alloue pas directement 
des ressources. Le RIPE le faisait (PI + allocation directe). Mais c'est fini (famine IPv4, tout ça et il me 
semble que c'est pareil en IPv6). Donc, au minimum, il faudrait un RIR et un UR entre TESTASSO et l'IANA 
avec autant d'objets. Si ça vous tente de faire une maquette plus réaliste … Ce n'est pas difficile, juste 


répétitif. 


ÉDIT du 26/04/2014 à 22h00 : Remarquez que le mnt-by est lui aussi fantaisiste : un LIR ne vous 
mettra pas en mnt-by car il s'agit de ses allocations à lui en tant que LIR tout comme le RIPE n'a pas défini 
le LIR comme mnt-by sur le(s) inet(6)num qu'il a attribué au LIR. C'est le rôle de ces organismes (RIR et 
LIR) de délimiter les allocations. Sur les inet(6)num, votre LIR vous mettra en mnt-lower pour gérer des 
découpages dans vos allocations (exemple : fourre-tout v6), en mnt-domain pour gérer les objets domain 
associés et en mnt-routes pour créer/modifier les objets de type route, … Fin de l'édit 


ASN 


Pour un numéro de système autonome (ASN), le type d'objet est « aut-num ». Sa création ne pose pas de 


problèmes si vous êtes arrivé jusque-là. 


Délégation zone reverse 


Pour la délégation d'une zone reverse v4/v6, c'est un objet de type « domain » qu'il vous faut. Mais dans la 
base de test, sa création échouera car le niveau supérieur (0/0 en v4) n'a pas configuré les serveurs de 
noms qui font autorité sur cette zone reverse (et pour cause …). 


Politiques de routage inter-AS 


Pour ce qui est des politiques de routage, on a les objets de type route/route6 qui permettent de dire : «tel 
préfixe IPv4 ou IPv6 est annoncé par tel AS » ou des choses plus marrantes comme « quelle est l'adresse 
IP de la machine que ce réseau met à disposition du public pour PE 


Pour les politiques de routage, on a aussi d'autres objets (filter-set, par exemple) et des attributs dans 
l'objet « aut-num » : import, export et les types liés (as-set, route-set). Tout cela constitue l' 
. Exemple : 


aut-num: AS197422 

as-name: TETANEUTRAL-NET-AS 
[524 

from AS31576 accept ANY 
from AS6777 accept ANY 

from AS6939 accept ANY 
Css] 

to AS31576 announce AS197422 
to AS6939 announce AS197422 
to AS6777 announce AS197422 
[css] 


Ici, ce FAI toulousain annonce que ses pairs sont GIXE (transitaire), l'AMS-IX (point d'échange néerlandais) 
et Hurricane Electric (gros opérateur). Tetaneutral.net récupère toutes les routes auprès d'eux sans 
prioriser un pair vis-à-vis d'un autre. Enfin, Tetaneutral annonce ses préfixes à ses pairs. 
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Cogestion 


Et pour faire de la cession de droits ou, à minima, de la cogestion sur des objets ? Il suffit de leur associer 
de nouveaux objets de type mntner dans leurs attributs « mnt-by » ou « mnt-* » pour des droits plus fins. 
Exemples : mnt-routes pointe sur un objet maintainer qui aura le droit d'ajouter des objets de type 
route/route6 en rapport avec l'objet courant ; mnt-domain = même principe mais pour les reverse v4/v6. 
L'authentification fonctionne selon un OU logique : toute personne qui aura un des mécanismes 
d'authentification d'un des maintainers pourra modifier l'objet. 


ÉDIT du 26/04/2014 à 23h55 : 


Modifier la base par mail avec signature PGP 


Documentations : ainsi que le 
tutoriel « Maintenance whois de Lulu » que j'ai linké en début de billet. 


Notez qu'il n'est pas nécessaire d'utiliser PGP : vous pouvez envoyer vos modifications par mail en y 
ajoutant un attribut « password » contenant le mot de passe de votre objet maintainer en clair. Mais c'est 
mal, très mal. La réciproque n'est pas vraie : l'interface web ne supporte pas les signatures PGP. 


Les robots à contacter ( 


e auto-dbm(at}ripe(dot}net pour la vraie DB 


e test-dbm(at)ripe(dot)net pour la DB de test (un greylisting est en place sur cette adresse) 


La première étape pour soumettre vos modifications signées avec PGP par mail est de créer un objet de 
type « key-cert ». Il semble que le formulaire « individual fields » est cassé (il retourne toujours l'erreur « 
certif value is required ») donc utilisez le formulaire « single text area ». 


KEY-CERT : PGPKEY-<ID de votre cle> 


CERTIF : votre clé publique au format ASCII obtenu avec gpg --armor --export <ID de_votre_cle>. Il faut 
autant de lignes « certif » que de lignes dans la sortie gpg. Il faut conserver les lignes vides et les 
marqueurs de début et de fin de la clé. 


Les autres attributs sont soit générés automatiquement (« method », « owner », « fingerpr ») soit 
facultatifs. On supprime les premiers. On complète ou non les seconds. 


Exemple : 


KEY-CERT : PGPKEY-698DB1DD 

CERTIF: BEGIN PGP PUBLIC KEY BLOCK-- 

CERTIF: Version: GnuPG v1.4.12 (GNU/Linux) 

CERTIF: 

CERTIF: mMmOINBEVXHZCBEACwOpvTEOL1h+vfqwolOHaplhV8x1zF)d11T1E0CLwpsC5qpmQb 
CERTIF: OSbN1SODDY1MG6IHP98TUWM2 4mZU62 6MuWHte/vMOE5X107tKOTRREeY)XxBftaa 
CERTIF: 9pGhynrjdk4FSDSZjZ5N0CgCDeX61 j 1TJCHOLTIEPBO/hJ+Tv2jDHcOv£CaétnCg 
CERTIF: a3GoKrALPOW££/nNFpXOwpLbeFDizurGXNDpGa5yBPfn0k8bKzhPa+h9geYIx+4e 
CERTIF : NbtG0J/g+GJuLhml ZyMVQ5+VYgeggbwLw8CvvcsH82v5PG5XIyceMqEXOvji5BOL 
CERTIF: jzuYFYF/XinPhWgz5q2+5hV3Hs/z8)MH1KkPZn)1hbHa9mT1A+xSFUO95gbvRXgF2 
CERTIF: 10mewYUVPKoOfIhGis1cqlf4S1hrg00vS32bBb/ 6hPp8EVeb1GzMUhAyf£c-+RNbof 
CERTIF: IvUUlbp6CDy2qrCVACOUHLyEMCA4/11p2m26330088qL5s1Azwi /wuYfep+xjaYFv 
CERTIF: W8for8VZPtu9Fui6LyRvgvIOvUy5R+1wW2F1IChM9G4AbxdaY rt) tXuCuTVkfgdC 
CERTIF': CYabxcEQeh4uhjNqhP3hxAag7CI3KUud2 6w40/ 9KO2BWxXMheZpDGkapfzJypbbe 
CERTIF: jLC7OHhqV6r+GoD8VmNMLKNO/Jzvrf237220LCuzSulGwVIyKIG5y51ifecwARAÇAB 
CERTIF: tCdKb25hdGhhbiBNaWNoYWxvbiA8am9obmR1l1c2NzQGdtYWlsLmmvbT6JAjCEEWEI 
CERTIF': ACEFAkvXHzCCGwWMFCwkIBwMFFQOJCASFFgIDAQACH9ECF4AACgkQqS0qaGeNoc1Zz 
CERTIF': EA//YQ13S15rxBQuXZcxWvsBlON4ZjqfZB6HnOdeeIdEnR7hEVgICDD/3AEZKXs5 
CERTIF: 38uwTO1h++2T47KSbBaKFK+bCJfzivSVH)6SWW1vhJZOSWUCNZENXXSiBFM+IZ9r 
CERTIF : /2z8LS+t/iv6jy0tNeziVCxIDF3KJ9FIULOQOrKRMI a) 9466rkVk9qZuNORfx+3B 
CERTIF : 9gleKyhLj/CFjzzlyANIK7Ga74bgYhXTxHEGK+JKOf+tq4RymYpdRu87YauwL3ZY 
CERTIF: KbObG4JzNWsqnJint7pueiEOrCcTHecUgkpOpPXrk/J2Xt07XudvteUcArOoRNP4 
CERTIF: qdb9kulkkbtlsc74DQwWE9sysbZbYoIT1YD1y0x2S9IqYsW/NpsOCek+8viRUSTHK 
CERTIF: mHnYCR2RDB/ 6EkkU2Rwjjt3clidnrl2u40jTtU6ZZ/3Cbqjs/HEvf5EFacxx1JVA 
CERTIF: ROIOpTja56qn3sk85avJfM1I4P0swG9Ga+wnb/KlnyuIBQJZO3W+SfpJFOgzmXBu 
CERTIF: M1IiXIjdCbzhHTcrbc9xnvaqXCf5L13ZQy+CpEyvVVpAWOTd4s6Ia9PldlPaRWwIG 
CERTIF': faZKVjCKLaDKle75vrP48pinCFu5JJ+6BrTVROLXJRSd/XF8fbcOwk4TH1z2/bOt 
CERTIF: NIN1dqHMx3RD/NZW+5nMae/MugVWZZUXJEremM3Wpopvdci IRgQQEQgABgUCTL75 
CERTIF: gOAKCRD41b9H8Cma2QcnAKCWEllqoyiJnOUs)9iJa0xxsUKv2wCdFr7Buqlib+iu 
CERTIF: ufvsaws1cQYCaNWOMEpvbhmFOaGFuTE1pY2hhbG9uIChQZXJzbykgPGpvbhmEFO0aGFu 
CERTIF: QG1pY2hhbG9IuLmV1POKCNwWQTAQOGATQUEUCNcAwWIbAWULCOIHAWUVCIKICWUWAYMB 
CERTIF: AATeAQIXgAAKCRCpPLSpoZ42hzYaHEACqIwSOGZBPK60T1S5PEweHCAMxgeaQ0!1 / 0 
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CERTIF : uF3u4G/hEo20zVzrv4PSBuRwdBfCjnZE3NakRFJGx5Y4T2dkYrZXNrB2DG+kqyqw 
CERTIF: KMa06gC4ZGK+DyVusU5+qCLDeTXvtY6W5z7GQ01SV6iHE0iFKaqoqiuaXXG8Wuh3t 
CERTIF: C12VoQOxNUi 6VE628Ys+E76YpLztOhy4nFeEBL8w1NIqB8KDK1ydjbLnBkhUesOIP 
CERTIF: tIdLynxqm+tkRUA9WaPSIY/KQOFAbTLP3WAjnNM7wCqShAwgTBhH8v66pYKt/qpk 
CERTIF: JVVCEx3C48TTDgmHXlhrZTYR5jA4wpnrJwP+FhyBdA+fKPmJHzmSNwT321fH1Z40 
CERTIF: x+xfTZSVj fkgoW9c195Sy3JGeDlomHjmR5CURZ7Iwyg02z+k86Ve44/TKMXgXa2F 
CERTIF: H7D8Zjv9AYP4xKZDF+0nPr155KzotMX9r501AaYB913jJ14xRMFjqWphB2hijrhQ 
CERTIF': hebw5a/HI+aKLyYWkdNOA7NOAYhJ5MAjaKj sG7LfO069X7HUtWtLeOATjJFT8C9FB 
CERTIF: FÉVIBrK5G01v617dgUKMgUsKCAhKE7TRU6SQNTT+0hFTHCHh1ziwWA+35EfFhhR2y 
CERTIF : JFUBhZ/nFo2v690kav29LKTOOHKaFpHzXLbvUb4P/G/wX15LÉFFHHYHOJvU+PXP1r 
CERTIF: ddSIxmwKRw== 
CERTIF: =zj2g 
CERTIF: ——---END PGP PUBLIC KEY BLOCK----- 
org: ORG-TSTAI-TEST 

admin-c: JKB1-TEST 

tech-c: UKB1-TEST 

MNT-BY: TESTASSO-MNT 

CHANGED: ripedb@example.com 20140426 

SOURCE : TEST 


Ce qui nous donne l'objet suivant une fois le formulaire validé : 


-h whois-test.ripe.net -B -r PGPKEY-698DB1DD 
% Information related to 'PGPKEY-698DB1DD' 


key-cert: PGPKEY-698DB1DD 
method: PGP 
owner : Jean-Kevin Boulay <jkb@example.net> 

fingerpr: E99E BD56 AA68 COCD FEC2 EB25 A92D 2A68 698D B1DD 
certif: ——---BEGIN PGP PUBLIC KEY BLOCK----- 

certif: Version: GnuPG v1.4.12 (GNU/Linux) 

certif: 
certif: MQINBEVXHZCBEACwopvTtOLlh+vfqwolOHaplhV8x1zFjd11T1E0CLwpsC5qpmQb 
certif: o5bN1SoDDqlMC6IHP98TUWM2 4mZU626MuWHte/vMOE5X1Q7tk0TRREeYjXxBftaa 
certif: 9pGhynrjdk4FSDSZjZ5N0CgCDeX61 j1TICHOLT1EPBO/hJ+Tv?j DHcOvÉCaétnCg 
certif: a3GoKrAlPOW£F/nNFpXOwpLbeFDizurGXNDpGa5yBPfn0Ok8bKzhPa+h9geYIx+4e 
certif: NbtG0J/g+GJuLhmlzZyMVO5+VYgeggbwLw8CvvcsH82v5PG5SXIyceMqEXOv] i5BOL 
certif: jzuYFYF/XinPbWgz5q2+5hV3Hs/z8)jMH1kPZn)1hbHa9mT1A+xSFUO959gbvRXgF2 
certif: 10OmewYUVPKoOfIhGis1cqlf4Slhrg00vS32bBb/ 6hPp8EVeb1GzMUhAy£c+RNbof 
certif: IvUUlbp6CDy2qrCVACOUHLyEMCA4/11p2m263J0088qL5s1Azwi /wuYfep+xjaYFv 
certif: W8for8VZPtu9Fui6LyRvgvIOvUy5R+1wW2F1IChM9G4AbxdaYrt) tXuCuTVkfgdc 
certif: CYabxcEQeh4uh)NqhP3hxAag7CI3KUud26w40/9KO2BWxXMheZpDGkapfzJypbbe 
certif: jLC7OHhqV6r+GoD8VmNMIKNQ/Jzvrf23220LCuzSulGwVIyKJG5y5ifecwARAQAB 
certif: tCdKb25hdGhhbiBNaWNoYWxvbiA8amIobmR1c2NzQGdtYW1sLmmvbT6JAÏcEEWEI 
certif: ACEFAkvXHzZCCGwMECwWkIBwMFFOoJCASFFgIDAQACHgECF4AACgkQqS0qaGeNoc1z 
certif: EA//Y013S15rxBOuXZcxlWvsBlON4ZjqfZB6HnOdeeIdEnR7hEVgICDD/3AEZKXS5 
certif: 38uwTO1h++2T47KsbBaKFK+bCJfzivSVHj6SWWlvhJZo5WUCNZ6NxX5iBfM+IZ9r 
certif: /2z8LS+t/iv6jy0tNeziVCxIDf3KJ9ƏFIU10QOrKRMMIaj9q66rkVk9qZuNQRfX+3B 
certif: 9gleKyhLj/CFjzzl1yANIK7Ga74bgYhXTxHEGK+JKOf+tq4RymYpdRu87YauwL3ZY 
certif: KbObGAJzNWsqnyint /pueiEOrCcTHecUgkpOpPXrk/J2Xt07XudvteUcArOoRNP4 
certif: qdb9kulkkbtlsc74D0wE9sysbZbYoITIYD1y0x2S91qYsiW/NpsOCek+8viRUSTHK 
certif: mHnYcR2RDB/6EKkU2Rw)j jt3clidnrl2u40TEtU62Z/3Chbqjs/HEvVÉ£5EFacxx1JVA 
certif: ROIOPTja56qn3sk85avIfMl14P0swG9Ga+wnb/KinyulBOJZO3W+SfpJFOgzmXBu 
certif: M1IiXIjdCbzhHTcrbc9xnvaqXCf5L13ZQy+CpEyvVpAWOTd4s6Ia9PldlPaRWwIG 
certif: faZKVjCKLaDKle75vrP48pinCFu5JJ+6BrTVROLXxJRsd/XF8fbcOwk4TH1z2/bOt 
certif: NIN1dqHMx3RD/NZW+5nMae/MugVWZZUXJEremM3Wpopvdci IRgQQEQJABgUCTL75 
certif: gQAKCRD41bgH8Cma2QcnAKCWEllqpyiJn0Usj9iJa0xxsUKv2wCdFr7BuqlIb+iu 
certif: ufv5awslcQYCaNW0MEpvbmF0aGFuIElpY2hhbG9uIChQZXJzbykgPGpvbmF0aGFu 
certif: QG1pY2hhbG9uLmMV1POkCNWQTAQJAIQUCUCNC4WIDAWULCQJHAWUVCgkICWUWAgMB 
certif: AAIeAQIXgAAKCRCpLSpoZ42hzYaHEACqIwSOGZBPK6OT1S5PEweHC4MxgeaQQl/0 
certif: uF3u4G/hEo20zVzrv4PSBuRwdBfCjnZE3NakRfJGx5Y4T2dkYrZXNrB2DG+kqyqw 
certif: KMa06gC4ZGK+DyVusU5+qCLDeTXvtY6W5z7GQo1SV6iHE0iFKqoqjuaXXG8Wuh3t 
certif: C12VoQOxWUi 6VE6Z8Ys+E76YpLztOhy4nFeEBL8w1NIq8KDKlydjbLnBkhUes0IP 
certif: tIdLynxqm+tkRUA9WaPSIY/KQOFAbTLP3WAjnNNM7wCqShAwgTBhH8v66pYKt/qpk 
certif: JvVCEx3C48TTDgmHXLhrZTYR5)A4wpnrJwP+FhyBdA+FKPMIHzMsNwWT 321 FH1Z40 
certif: Xx+xfTZSVjfkgoW9c1l95Sy3JGeDlomHjmR5CURZ7Iwyg02z+k86Ve44/TKMXgXa2F 
certif: H7D8Z)jv9AYP4xKzDF+QnPr155KzotMX9r501AaYB913)J14XRMF)qWphB2hijrhQ 
certif: hebW5a/HI+aKLyWkdNOA7NOAYhJ5MAjaKjsSG7LfO069X7HUtWtLeOATjJFT8CgFB 
certif: FfVJBrK5GQ1v617dgUKM9UsSKCAhKE7TÞU6sqWTT+ohFTHCcHhlziwWA+3jEfhhR2y 
certif: JFUBhZ/nFo2v690kav29LKTooHKaFpHZzXLbvUb4P/G/wX15LffHHYb9JvU+PXP1r 
certif: ddSIxmwKRw== 
certif: =zj2g 
certif; — === END PGP PUBLIC KEY BLOCK----- 
org: ORG-TSTAI-TEST 

admin-c: JKB1-TEST 

tech-c: JKB1-TEST 

mnt-by: TESTASSO-MNT 

changed: ripedblexample.com 20140426 
source: TEST 


La deuxième étape est de lier votre nouvel objet key-cert à votre objet de type mntner. Cela se fait avec un 
attribut « auth » dans l'objet mntner. Exemple : « auth: PGPKEY-698DB1DD ». 


Vous pouvez désormais soumettre des objets signés par mail au robot du RIPE : 
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e Il faut obtenir une copie complète (-B) de l'objet que vous souhaitez modifier. Exemple : 
whois -h whois-test.ripe.net -B -r JKB1-TEST > jkbl 


e On modifie avec notre éditeur de texte favori. Dans mon cas, j'ajoute un attribut « remarks 
» et un attribut « changed ». 


e On signe en gardant le texte en clair (on ajoute la signature à la fin, voir : 


DE 


gpg -u <id de votre cle> --armor --clearsign jkb1 


On obtient un fichier jkbi.asc qui contient quelque chose dans ce genre : 


Hash: SHA256 


Avertissement : des options RIPE ont été utilisées avec un serveur classiqu 
% This is the RIPE Database query service. 
The objects are in RPSL format. 


The RIPE Database is subject to Terms and Conditions. 
5 See http://www.ripe.net/db/support/db-terms-conditions.pdf 


5 Information related to 'JKB1-TEST' 


person: J-K Boulay 

address: FR 

phone: +33123456789 

e-mail: ripedb@example.com 

nic-hdl: JKB1-TEST 

mnt-by: TESTASSO-MNT 

remarks: Ceci est un test 

changed: ripedb@example.com 20140418 
changed: jkb@example.net 20140426 
source: TEST 


g 


% This query was served by the RIPE Database Query Service version 1.72 (DK 


Version: GnuPG v1.4.12 (GNU/Linux) 


10IcBAEBCAAGBOUTXBLSAAOJEKktKmhn)aHNb4MP/0aF2GABfKvilKSrGiCn7RUH 
yO9k4D8SN7nJi6jJKISkvcELTP7eTEUCOMvNTuO2RF95362bm1UNOcjKZep5++8h 
179wcjolfyx]kFr10JaLVDmF1fVR+ago5+ZoWNfbnbaSpP8HyVY+n70270vD02yL 
mwcGSKD7h/Za2dY10wnWF9d1mciGcYk+m5ruKb3bqjpTF79n48$3/ua+WzACKXOUH 
Mg2B60xJOVIAO0A/07y6UvxCO7+8m1l/E3Y2B4AVYOvRaJ1QnJpU/Tylcsx9pDbJg 
dicChmOaZ+FbXYHLi0axc8ixucpoOmFIXQ4nIVilear3E5EaVv7wx/wrlr7d5BYi 
g8BPLGB60hYBISPOEULNF/V8hx£7PM3ONUagmtMjLzvMFLLox9s58POurVzi)PPX 
b1H4Tzorx6Lcm512Gcu2IfHGVVXxO0JTfCXPgubDTV2QCSS4RL5VF7C8JOnNnrGr59m 
Nw5hUBW+JOnV1418yVB40XIC+Q0LFN5rfFRRlahhTZ5aGR/ieU+Ftk6MPE+Nt430 
bfO64IfCkrb4XKSFzwbpCcFlAkImFuun74L+dOfVstzEMYc0p5XetN1IEhPeppiv 
j0S/p1tmCDHEkUZUk151xAeRiQdqqVwx4P20tW7P9Dt7H4yqABgas6Yyia5DVjLj 
MZYvC/9Fm4s1ysKOctwP 

=74PE 


.net < jkbl.asc 


On reçoit un mail récapitulatif : réussite ou échec, ce qui ne s'est pas bien passé, … Exemple : 


SUMMARY OF UPDATE: 


Number of objects found: i 
Number of objects processed successfully: 1 
Create: 0 
Modify: 1 
Delete: 0 
No Operation: 0 
Number of objects processed with errors: 
Create: 0 
Modify: 0 
Delete: 0 


DETAILED EXPLANATION: 
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Modify SUCCEEDED: [person] JKB1-TEST JK Boulay 


The following paragraph(s) do not look li objects 
and were NOT PROCESSED: 


Avertissement : des options RIPE ont été utilisées avec un serveur classique. 
% This is the RIPE Database query service. 
The objects are in RPSL format. 


The RIPE Database is subject to Terms and Conditions. 
See http://www.ripe.net/db/support/db-terms-conditions.pdf 


5 Information related to '"JKB1-TEST' 


is query was served by the RIPE Database Query Service version 1.72 (DBC-WHOIS4) 


The RIPE Database is subject to Terms and Conditions: 


http://www.ripe.net/db/support/db-terms-conditions.pdf 


For assistance or clarification please contact: 
RIPE Database Administration <ripe-dbm@ripe.net> 


Generated by RIPE WHOIS Update version 1.72 on DBC-WHOIS2 
Handled email update (TEST, 2014-04-26 23:42:04) 


Il est possible de soumettre plusieurs objets en même temps, signés (avec la même clé ou non) ou non- 
signés (il faudra alors un mot de passe dans un attribut « password ») ce qui est très pratique pour une 
modification de masse. Un maintainer peut avoir plusieurs clés PGP. L'authentification se fait "en OU 
LOGIQUE" sur tous les moyens d'authentification (clé PGP ou non) associés à un des objets maintainer qui 
sont associés à l'objet à modifier. 


erci à pour ces tests. 
Fin de l'édit 


Faire le ménage dans la base de test 


Pour supprimer tous les objets que vous avez créés dans la base de test, il faut les et choisir 
l'option « delete ». À cause de la référence circulaire entre vos objets de types mntner et person, vous ne 
pourrez pas les supprimer directement. Néanmoins, sur cette base de test, on peut ruser : casser la 
référence circulaire en définissant « TEST-DBM-MNT » comme mntner de l'objet personn et « AA1-TEST » 
comme admin-c de l'objet mntner. Ça fonctionne uniquement car nous avons le mot de passe de « TEST- 
DBM-MNT ». J'imagine qu'il existe une méthode plus pragmatique voire un bête formulaire web mais je ne 
l'ai pas trouvé. Notons quand même que cette base de données est purgée tous les jours à Oh. 


Dernières remarques 


On notera que les attributs « tech-c » et « admin-c » de tous les objets peuvent pointer sur un seul et 


même objet de type person. 


Enfin, si l'on souhaite visualiser les objets de la base du RIPE sous un format graphique conviviale, l'onglet « 
Database » de l'outil est là pour ça. 


ÉDIT du 26/04/2014 à 22h00 : 

L'attribut « changed » doit dire qui a modifié/créé un objet et quand. Qui est une adresse email. Quand est 
une date au format AAAAMMJJ. Il n'est pas nécessaire de remplir la date, elle est auto-complétée. L'attribut 
changed ne se met pas à jour tout seul lors d'une modification. ® ıl peut y avoir plusieurs attributs 
changed pour un même objet, ce qui permet d'avoir un historique des modifications de cet objet. 


Ne pas créer/modifier deux objets en parallèle dans deux onglets différents du même navigateur si les deux 


objets ne sont pas dans la même source (RIPE/TEST) sinon l'application web se prend les pieds dans le 
tapis et vous hurle dessus : « Unrecognized source: TEST ». Dans cet exemple, ça parle de TEST alors que 
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je voulais soumettre un objet dans RIPE mais comme j'avais ouvert ce formulaire puis ouvert un autre 
onglet dans TEST pour faire un test … 


Ce formulaire permet d'avoir rapidement l'adresse mail à contacter en cas d'abus. Il suffit de saisir une 
adresse IP, un ASN ou un inet(6)num. Cela retourne la valeur de l'attribut « abuse-mailbox » d'un objet de 
type « role » (qui représente une personne/un groupe de personnes dédié à la même tâche (administratif, 
adminsys, ...) au sein d'une organisation) lui même associé à un objet de type « organisation » (avec un 
attribut « abuse-c ») lui même associé à la ressource recherchée (aut-num ou inet(6)num). Si cette 
recherche est infructueuse (car pas d'objet organisation, car pas d'attribut « abuse-c », ...), elle se poursuit 
récursivement sur les ressources englobantes (as-block englobant, inet(6)num englobant). Merci à Lulu 
pour la découverte de ce formulaire. 

Fin de l'édit 


Aucun commentaire. Ajoutez votre commentaire 


Votre commentaire 


Nom* : Email* : URI : 


Soumettre 
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